关于网络安全:超三十万台设备感染银行木马远程代码漏洞可攻击云主机|12月7日全球网络安全热点

平安资讯报告

勒索软件黑客公布39,000份政府外部文件

Volkskrant周一报道,一家为荷兰警察、紧急服务和安全部门解决敏感文件的技术公司已成为黑客的指标。在公司Abiom回绝恪守勒索软件组织LockBit的要求后,共有39,000份文件(包含身份证件和发票)在网上泄露。

平安专家Matthijs Koot示意,这次攻打代表了勒索软件运营商的一种新策略。他们没有锁定私人数据,而是威逼要公开平安信息,以侵害受害者的名誉。

新闻来源:

https://www.dutchnews.nl/news…

虚伪反对代理呼叫受害者装置Android银行恶意软件

BRATA Android近程拜访木马(RAT)已在意大利被发现,攻击者呼叫短信攻打的受害者以窃取他们的网上银行凭证。BRATA以前在巴西呈现过,通过Google Play商店上的应用程序交付,但当初看来其作者正在将其发售给外国运营商。

该意大利流动于2021年6月首次被发现,通过短信网络钓鱼(也称为smishing)发送多个Android应用程序,相干样本在Virus Total中只有50%的安全软件检测为歹意。

攻打始于链接歹意网站的未经请求的短信(SMS),宣称是来自银行的音讯,催促收件人下载反垃圾邮件应用程序。最终受害者会下载BRATA恶意软件,或将他们带到网络钓鱼页面以输出其银行帐号密码的页面。攻击者会打电话给受害者,并伪装是银行的员工,提供装置应用程序的帮忙。

BRATA性能的残缺列表包含:

  • 拦挡SMS音讯并将其转发到C2服务器。
  • 屏幕录制敏感信息。
  • 卸载特定的应用程序(例如,防病毒软件)。
  • 暗藏本人的图标应用程序,以缩小非高级用户的可追踪性。
  • 禁用Google Play Protect以防止被Google标记为可疑利用。
  • 批改设施设置以取得更多权限。
  • 如果设施被明码或图案锁定,解锁设施。
  • 显示钓鱼页面。

攻击者滥用这些权限拜访受害者的银行账户,检索二次验证明码,并最终执行欺诈交易。

新闻来源:

https://www.bleepingcomputer….

针对超过300,000台设施的4个Android银行木马流动

2021年8月至11月期间,四种不同的Android银行木马通过官网Google Play商店流传,导致超过300,000次通过各种应用程序感化,这些应用程序伪装成看似有害的实用程序应用程序,以齐全管制受感化的设施。

装置后,这些银行木马程序能够应用一种称为主动转账零碎(ATS)的工具,在用户不知情的状况下,机密窃取用户明码和基于SMS的双因素身份验证代码、击键、屏幕截图,甚至耗尽用户的银行账户。这些应用程序已从Play商店中删除。

歹意dropper应用程序列表如下:

  • 两因素身份验证器

(com.flowdivison)

  • 爱护卫士

(com.protectionguard.app)

  • QR CreatorScanner

(com.ready.qrscanner.mix)

  • Master ScannerLive

(com.multifuction.combine.qr)

  • 二维码扫描器2021

(com.qr.code.generate)

  • QR扫描仪

(com.qr.barqr.scangen)

  • PDF文档扫描仪

(com.xaviermuches.docscannerpro2)

  • PDF文档扫描仪收费

(com.doscanner.mobile)

  • CryptoTracker

(cryptolistapp.app.com.cryptotracker)

  • 健身房和健身教练

(com.gym.trainer.jeux)

新闻来源:

https://thehackernews.com/202…

Windows、Office盗版激活工具KMSPico被用于流传窃取加密货币钱包的木马

该恶意软件被称为“CryptBot”,是一种信息窃取程序,可能获取浏览器、加密货币钱包、浏览器cookie、信用卡的凭据,并从受感化的零碎中捕捉屏幕截图。通过破解软件部署,最新的攻打波及伪装成KMSPico的恶意软件。

KMSPico是一种非官方工具,用于非法激活盗版软件(如MicrosoftWindows和Office套件)的全副性能。

新闻来源:

https://thehackernews.com/202…

Nobelium黑客组织应用新型荫蔽Ceeloader恶意软件

Nobelium黑客组织通过瞄准其云和托管服务提供商并应用新的自定义“Ceeloader”恶意软件,持续毁坏寰球政府和企业网络。

Nobelium是微软对去年导致多个美国联邦机构斗争的SolarWinds供应链攻打背地的威逼参与者的名字。该组织被通常称为APT29、The Dukes或Cozy Bear。尽管Nobelium是一个应用自定义恶意软件和工具的高级黑客组织,但他们依然会留下流动痕迹,钻研人员能够应用这些痕迹来剖析他们的攻打。

在Mandiant的一份新报告中,钻研人员利用这一流动发现了黑客组织应用的策略、技术和程序(TTP),以及一个名为“Ceeloader”的新自定义下载器。此外,钻研人员将Nobelium分为两个不同的流动集群,归因于UNC3004和UNC2652,这可能意味着Nobelium是两个单干的黑客组织。

依据Mandiant所看到的流动,Nobelium参与者持续毁坏云提供商和MSP,以此作为取得对其上游客户网络环境的初始拜访权限的一种形式。

“至多在一个实例中,威逼行为者辨认并毁坏了一个本地VPN帐户,并利用该VPN帐户执行侦察并进一步拜访受益CSP环境中的外部资源,最终导致外部域帐户受到毁坏”Mandiant解释道。

在至多一个其余破绽中,黑客组织应用CRYPTBOT明码窃取恶意软件窃取用于对受害者的Microsoft365环境进行身份验证的无效会话令牌。

新闻来源:

https://www.bleepingcomputer….

安全漏洞威逼

CERBER勒索软件利用Confluence RCE等多个高危破绽攻打云主机

12月6日,腾讯平安Cyber-Holmes引擎零碎检测并收回告警:CERBER勒索软件传播者利用Atlassian Confluence近程代码执行破绽(CVE-2021-26084)和GitLabexiftool近程代码执行破绽(CVE-2021-22205)攻打云上主机。被勒索软件加密毁坏的文件无密钥暂不能解密,腾讯平安专家建议所有受影响的用户尽快修复破绽,防止造成数据齐全损失,业务彻底解体。

Atlassian Confluence近程代码执行破绽(CVE-2021-26084)为8月26日披露的高危破绽,该破绽的CVSS评分为9.8,是一个对象图导航语言(ONGL)注入破绽,容许未经身份验证的攻击者在Confluence Server或Data Center实例上执行任意代码,攻击者利用破绽可齐全管制服务器。

GitLab exiftool近程命令执行破绽(CVE-2021-22205)同样也是网络黑产疯狂利用的高危破绽。因为Gitlab某些端点门路无需受权,攻击者可在无需认证的状况下利用图片上传性能执行任意代码,攻击者利用破绽同样能够齐全管制服务器。

腾讯平安专家指出,网络黑灰产业对高危破绽的利用之快令人印象粗浅,在Atlassian Confluence近程代码执行破绽(CVE-2021-26084)和GitLabe xiftool近程代码执行破绽(CVE-2021-22205)破绽详情及POC代码公开之后,已检测到多个网络黑灰产业对云主机发动多轮攻打。这些攻打较多为挖矿木马或其余僵尸网络,个别不会造成云主机解体瘫痪,明天捕捉的针对linux云主机的勒索软件攻打,可造成数据齐全损失,业务彻底解体。

新闻来源:

https://mp.weixin.qq.com/s/3t…

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

这个站点使用 Akismet 来减少垃圾评论。了解你的评论数据如何被处理